Тенденции развития внутреннего аудита

Что ждут от внутреннего аудита?

VUCA-мир  открывает для внутреннего аудита множество вызовов. По словам Валерия Горегляда, главного аудитора Банка России, глобальная неопределенность, нестабильность, волатильность, возврат к протекционизму в ведущих странах мира достигли беспрецедентного уровня, и, как следствие, растет востребованность аудита, в том числе внутреннего. Современный внутренний аудит в Банке России разделяет ответственность с владельцами бизнес-процессов и направлен скорее на достижение целей, нежели на обеспечение соблюдения правил, которое становится естественным. 

Успех трансформации всегда в первую очередь зависит от людей. По мнению Наталии Плотниковой, заместителя директора по внутреннему контролю и аудиту – директора департамента внутреннего аудита госкорпорации «Росатом», симбиоз цифровых технологий и автоматизации при единовременной реализации политики развития человеческого капитала поможет в решении двух основных проблем: роста расходов на персонал и дефицита людей на ключевых рабочих местах. В «Росатоме» определили, что помимо  базовых требований  к компетенциям сегодня важно, чтобы специалисты умели управлять проектами, работать с эффективностью бизнес-процессов и системой внутреннего контроля, капитальными вложениями, закупочной деятельностью и ИТ-аудитами.

Ключевой задачей внутреннего аудита по-прежнему остается помощь акционерам и менеджменту в долгосрочном повышении стоимости бизнеса. Тем не менее бизнес-среда активно меняется, растет скорость принятия решений, реагировать на риски надо все быстрее, отметила Анна Белова, член совета директоров АФК «Система», УК «Сегежа Групп», «Юнипро». В этом ключе внутренний аудит должен расширить фокус на предотвращение потерь и скорость реагирования. 

Сегодня от внутреннего аудита ждут мониторингов самых рисковых и материальных процессов в наиболее близком к реальному режиме. При этом ожидается, что аудиторы будут использовать автоматизированные системы, большие данные и искусственный интеллект. 

Цифровизация аудита и гибридный формат

Чтобы соответствовать таким высоким ожиданиям, нужно менять походы во внутреннем аудите. Так, в компании «Юнипро» во время пандемии изменили план внутреннего аудита таким образом, чтобы там, где это возможно, проверки проводились из удаленного офиса. При этом изменения вносились довольно часто, так что в итоге компания пришла к более гибкому подходу. Теперь фиксированный план аудитов на год отсутствует, вместо него есть пул аудиторских тем, из которых ежеквартально  выбираются  наиболее значимые на данный момент.

По словам Анны Сергеевой, директора по внутреннему аудиту и контролю ГК «Гранель», при проведении дистанционных аудитов надо помнить о ряде важных факторов:

1. Увеличение риска сбора информации, не соответствующей критериям надежности, полезности и уместности. При удаленном аудите велик риск манипуляций с предоставляемой информацией;

2. Повышение уровня вовлеченности в процесс сотрудников аудируемых подразделений. Например, выборочная инвентаризация активов, которая в традиционном формате проводится силами самих аудиторов, может производиться при участии других сотрудников;  

3. На дистанционный аудит может повлиять необходимость соответствия возросшим требованиям в области информационной безопасности. Проводя удаленный аудит, важно понимать, насколько экономический эффект от него выше рисков.

Пандемия стала драйвером для развития новых цифровых инструментов. Наталья Михеева, директор по внутреннему аудиту ПАО «МТС», рассказала о пользе этих инструментов. Это:

• сокращение сроков проведения  аудита;

• сокращение затрат на проведение аудита ;  

• повышение эффективности проведения аудита .  

Среди сложностей, с которыми можно столкнуться, внедряя и используя инструменты обработки и анализа цифровых данных:

• низкий уровень цифровизации; 

• большое количество неинтегрированных информационных систем в условиях отсутствия единого сквозного номера; 

• использование  разного ПО для визуализации данных в разных подразделениях компании;

• необходимость больших вычислительных мощностей для анализа больших данных. 

«Часто исходные данные не структурированы и не систематизированы, а также не в полной мере описаны мастер-данные, – дополнила Екатерина Спирина, руководитель по внутреннему аудиту коммерческих процессов ПАО «МегаФон». – Это требует от внутреннего аудита дополнительного, иногда существенного, времени для изучения данных, предварительной подготовки и обработки информации для целей анализа. Например, до начала анализа необходимо написать скрипт для кластеризации данных и отбора по интересующим признакам. Основным решением для таких ситуаций является повышение уровня зрелости процесса управления данными компании. Внутренний аудит может способствовать этим изменениям, а иногда и быть катализатором для них».

Управление рисками

Важно реагировать на риски быстрее, и для этого нужно, чтобы в компании существовала эффективная  СУР . «Департамент внутреннего аудита в ходе каждого аудита проводит оценку эффективности управления рисками, присущими проверяемому бизнес-процессу или объекту аудита. Для всех бизнес-процессов, включенных в периметр аудиторской проверки, проводится детальный анализ рисков, выявленных в рамках риск-анализа объекта аудита», – рассказал Игорь Кожуров, первый заместитель директора департамента внутреннего аудита ПАО «Аэрофлот».

Как объяснил спикер, такой анализ подразумевает получение внутренними аудиторами детального понимания организации бизнес-процесса, его декомпозицию до уровня подпроцессов и отдельных действий, а также определение контрольных процедур. Для каждого из рисков нужно определить цель контроля ожидаемого, понять, что контролируется фактически. Результаты такой оценки оформляются в  виде матрицы   рисков и контролей.

Визуально получить информацию о рисках и их покрытии, а также выявить возможные проблемы на разных уровнях позволяет карта гарантий. Татьяна Зайцева, начальник управления методологии и организации внутреннего аудита ПАО «НК «Роснефть», рассказала об основных особенностях построения карты гарантий в организации. Так, внутренний аудит в «Роснефти» взаимодействует не только с подразделением по управлению рисками и внутреннему контролю, но и с менеджментом компании. Для формирования карты гарантий внутренний аудит определяет критерии разделения поставщиков гарантий между первой и второй линиями, разрабатывает автоматизированные шаблоны и инструменты проведения самооценки системы внутреннего контроля менеджментом компании. 

Заместитель директора департамента внутреннего аудита ПАО «Аэрофлот» Татьяна Кутакова рассказала о том, что у них в компании существует рейтинг поставщиков гарантий, каждому их них присваивается уровень надежности: высокий, средний или низкий. Для этого департамент внутреннего аудита «Аэрофлота» проводит оценку деятельности поставщиков гарантий.

Как отметил Дмитрий Бочаров, советник президента компании «Сегежа Групп», трудности отдельной компании, отрасли, целой страны или даже общемировые – это не только лишь новые риски и проблемы, но также и новые возможности. Конечно, пандемия оказалась серьезным вызовом мирового масштаба, но одновременно и катализатором изменений в глобальных коммуникациях, появления новых сервисов и бизнесов и так далее.

В трудные времена акционеры и руководство организаций ожидают мобилизации от всех сотрудников и подразделений, и внутренний аудит – не исключение. Для него открываются возможности для перестройки деятельности и повышения собственной ценности для компаний. Как отметил Дмитрий, внутренний аудит может трансформировать подход к работе, стать проактивным агентом изменений, выступать в роли консультанта по эффективности, предлагать ИТ-решения актуальных проблем, самостоятельно реализовывать пилотные цифровые проекты и пройти независимую внешнюю оценку. Необходимые навыки и знания есть, нужно лишь желание меняться и совершенствоваться.